26 Aug

وجد باحثون أمنيون نقاط ضعف (vulnerabilities) في AT & T و T-Mobile و Sprint

At&T
 
لم يكن أسبوعًا جيدًا لشركات الاتصالات: فالباحثون الأمنيون لديهم عيوب أمنية غير مكتملة مع أنظمة في AT & T و Sprint و T-Mobile ، مما كان يمكن أن يترك بيانات العملاء في متناول أشخاص سيئين.
 
أبلغت BuzzFeed News عن عيبتين تركتا معلومات معلومات العملاء عرضة للخطر في AT & T و T-Mobile. في حالة T-Mobile ، سمح “خطأ هندسي” بين واجهة متجر Apple على الإنترنت وواجهة برمجة تطبيقات التحقق من حساب T-Mobile بإجراء عدد غير محدود من المحاولات على نموذج عبر الإنترنت ، مما يسمح للمتسلل باستخدام الأدوات الشائعة لتخمين رقم التعريف الشخصي للحساب أو الأرقام الأربعة الأخيرة في رقم الضمان الاجتماعي للعميل ، في ما يسمى brute-force attack.
 
حدثت مشكلة مماثلة مع شركة التأمين على الهاتف Asurion وعملائها AT & T. سيسمح نموذج المطالبات عبر الإنترنت لأي شخص لديه رقم هاتف العميل بالوصول إلى نموذج يسمح له بتخمينات غير محدودة لتخمين رمز مرور العميل (customer’s passcode)، مما يجعله عرضة لهجوم آخر قوي.
 
في كلتا الحالتين ، قامت كلتا الشركتين بإصلاح الثغرات عندما اتصلت بها BuzzFeed News.
 
وفي نهاية هذا الأسبوع ، أفاد موقع TechCrunch أن باحثين في مجال الأمن تمكنوا من الوصول إلى بوابة داخلية للموظفين في Sprint بسبب “أسماء مستخدمين وكلمات مرور ضعيفة وسهلة الاستخدام” ، بالإضافة إلى عدم وجود مصادقة ثنائية. وبمجرد دخوله ، تمكن الباحث من الوصول إلى معلومات حساب العميل لـ Sprint و Boost Mobile و Virgin Mobile. وأفاد الباحث أيضًا أن أي شخص حصل على إمكانية الدخول يمكنه إجراء تغييرات على حسابات العملاء ، وأن أرقام التعريف الشخصية للعميل يمكن أن تكون قسرية. أكد متحدث باسم Sprint وجود ضعف في TechCrunch ، وأشار إلى أنه لا يعتقد أن أي عميل يتأثر بالضعف ، وأشار إلى أنه يعمل على حل هذه المشكلة.
 
الثغرات ليست بالضرورة خروقات ، ولكنها نقاط ضعف مثل هذه التى تسمح للأشخاص السيئين بالوصول إلى النظام واستغلال بيانات العملاء التي يدخلون إليها. هذه الأنظمة معقدة بالضرورة: يجب على الشركات مثل AT & T و Sprint و T-Mobile تحقيق التوازن بين توفير الوصول إلى الموظفين للقيام بأعمالهم والعملاء للوصول إلى المعلومات الخاصة بهم. ولكن نظراً للضرر الذي يمكن أن يلعبه الفاعل الخبيث مع الكميات الهائلة من البيانات التي لدى هذه الشركات ، فمن الواضح أنها تحتاج إلى أن تكون أكثر استباقية في حماية عملائها.
 
 
 
 

إضافة تعليق